News Flash:

A fost descoperit un nou bug de iOS care permite furtul datelor de login pentru conturi iCloud

16 Iunie 2015
966 Vizualizari | 0 Comentarii
Newsletter
BZI Live Video Divertisment
Video Monden
Muzica Populara Curs valutar
EUR: 4.6605 RON (+0.0077)
USD: 4.1120 RON (+0.0247)
Horoscop
berbec
taur
gemeni
rac
leu
fecioara
balanta
scorpion
sagetator
capricorn
varsator
pesti
Potrivit dovezilor prezentate de un expert in securitate, o vulnerabilitate descoperita in cea mai recenta versiune oficiala de iOS pentru dispozitive iPhone si iPad permite interceptarea detelor de autentificare folosite de utilizatori pentru accesarea conturilor iCloud.

In sustinerea afirmatiilor, acesta a dezvaluit inclusiv o mostra din codul folosit pentru atac, expunand o vulnerabilitate descoperita in aplicatia Mail livrata de Apple pe dispozitivele cu sistem iOS. Prezent incepand cu versiunea iOS 8.3 lansata in luna aprilie, bug-ul face ca anumite tipuri de cod HTML periculos sa nu fie indepartate corespunzator din corpul mesajelor email.

In atacul facut cu scop demonstrativ, vulnerabilitatea a fost exploatata pentru a substitui ecranul de login pentru contul iCloud cu un formular identic, accesat de pe un server aflat sub controlul atacatorului. Pentru a pacali si mai bine vigilenta utilizatorilor suspiciosi, exploit-ul poate fi modificat incat dialogul de login sa fie afisat o singura data, la prima accesare a mesajului email compromitator.

Pentru a imita ecranul login furnizat de Apple, codul folosit pentru initierea atacului acceseaza o functie numita autofocus, ascunzand ecranul de login falsificat dupa folosirea butonului OK. Tot ce este de facut pentru activarea vulnerabilitatii este sa inseram tag-ul HTML in corpul mesajului email, directionat catre falsul ecranul de login gazduit pe un server conectat la internet.

 Pe langa phishing-ul datelor de login, exploit-ul poate permite unui eventual atacator sa afle cand a fost vizionat mesajul respectiv si de la ce adresa IP.

Potrivit CEO-ului Errata Security, Rob Graham, vulnerabilitatea descoperita este cu atat mai grava tinand cont de faptul ca utilizatorii de iOS sunt obisnuiti sa intalneasca ecrane de login in momente neasteptate, avand putine motive sa suspecteze o tentativa de phishing.

Pentru sti cu certitudine daca ecranul de login este sau nu autentic este de ajuns sa folosim butonul Home. In majoritatea cazurilor, ecranele de login autentice nu permit utilizatorilor sa acceseze alte functii ale dispozitivului, decat folosind mai intai butoanele OK sau Cancel. Astfel, daca folosirea butonului Home nu duce la ascunderea ecranului de login, probabil ca putem introduce datele de login in conditii de siguranta.
Daca ti-a placut articolul, te asteptam si pe pagina de Facebook. Avem si Instagram.

vulnerabilitate ios iphone ipad autentificare aplicatia mail apple html
Distribuie:  

Realitatea.net

Din aceeasi categorie

Mica publicitate

© 2018 - IT.BZI - Toate drepturile rezervate
Page time :0.1541 (s) | 35 queries | Mysql time :0.020499 (s)